Vor Versand Ihrer Bewerberdaten: „Stimmen Sie hier unseren Datenschutzrichtlinien zu“…

man and women gathered around a table
Foto von You X Ventures

Datensammelwut eindämmen

Obige Liste zeigt deutlich, dass es nur im Interesse des Arbeitgebers liegen kann, die Fragen für den Bewerbungsprozess akribisch zu planen und auszudünnen. Jede neue Frage mitsamt Antwortdaten kann rechtlich von Belang sein – und muss verglichen, verarbeitet und bewertet werden. Klare einfache KPIs vereinfachen jedes Verfahren wohltuend und lassen auch schnellere Analysen zu.

Zugriffsrechte beachten

Prinzipiell dürfen nur diejenigen Personen auf die Daten zugreifen, die von Gesetzes wegen an dem Einstellungsverfahren beteiligt sind. Elektronische Zugriffsrechte können dies sicherstellen – und die Rechte – je nach Relevanz für die Einstellungsentscheidung – einschränken (z.B. nur Lese- oder Speicherzugriff). Hiervon betroffene relevante Personen können sein: HR-Manager und ihre Vertreter, Recruiter, Dienstleister, die das Bewerbermanagement übernehmen, Sekretäre, Projektverantwortliche, Vorstände, Geschäftsführer – wie auch der Betriebsrat.

Worüber sollte der Bewerber informiert werden? Worin kann und sollte der Bewerber einwilligen?

Grundsätzlich sollte bei allen Verfahren auf Datenschutzrichtlinien und AGB hingewiesen werden – und beides muss ausdrücklich zur Kenntnis genommen werden können. Oft findet sich dann ein Button, den der Bewerber anklicken soll, um sein Einverständnis auszudrücken. Ebenso häufig ist das Drücken dieses Buttons jedoch mit der Weiterleitung der Bewerbung zwingend gekoppelt. Hier könnte u.U. Nachbesserungsbedarf bestehen. Denn selten werden dem Bewerber immer alle notwendigen und vollständigen Informationen zur Verfügung und freien Wahl/Zustimmung gestellt.

Informationspflichten

Der Bewerber hat einen Auskunftsanspruch und muss als rechtlich „betroffene Person“ gemäß § 4 Abs. 3 BDSG prinzipiell über die Zweckbestimmung, Erhebung und Verarbeitung seiner personenbezogenen Daten in Kenntnis gesetzt werden:

  • Welche Daten aufbewahrt werden
  • Wozu die Daten aufbewahrt werden
  • Wie die Daten ver- und bearbeitet werden
  • Wo die Daten aufbewahrt werden
  • Wie die Sicherung der Daten erfolgt
  • Wie lange die Daten aufbewahrt werden
  • Welche Gesetze zur Anwendung kommen
  • Wer auf die Daten Zugriff haben wird – und welche Daten von wem einsehbar sind
  • Unter welchen Umständen eine Weiterleitung der Daten erfolgt – und im Rahmen welcher Fristen.
  • Ab wann die Daten wieder gelöscht werden (und ob es sich um eine permanente endgültige Löschung handelt oder „lediglich“ um eine reaktivierbare Stilllegung
  • Ob die Daten in einer Datenbank zum Zwecke einer Weiterverwendung in anderen Konzerneinheiten, Betriebsanlagen und für andere vakante Stellen gespeichert werden dürfen und wie lange

Es gibt einen Hinweis daraufr, dass diese Unterrichtung „entbehrlich sein könne, da die Nutzung der Daten ‚aus der Natur der Bewerbung selbst‘“ folge – doch sollte man im Einzelfall Unterrichtungspflichten und Auskunftsansprüche vorher anwaltlich und rechtssicher klären.

Keine Angst vor automatisiertem Bewerbermanagement – mit der richtigen Vorbereitung und Beratung

Über automatisiertes Bewerbermanagement wird im Zuge der Digitalisierung und Office 4.0 viel diskutiert. Mit Recht könnten Firmen nun in Ankündigung der Neureglung der EU-Datenschutzverordnung noch mehr als zuvor vor digitalen Neuerungen zurückschrecken und die Einhaltung der Datenschutzrichtlinien als Minenfeld empfinden. Doch ändert sich im Grunde nicht so viel wie befürchtet

Welche datenschutzrechtlichen Bereiche gilt es, im Auge zu behalten?

Die Bereiche, die datenschutzrechtlich berührt werden können, sind:

  • Personenbezogene Daten
  • Datenart
  • Datenmenge
  • Erfordernis und Relevanz
  • Datenübertragung und Sicherheit
  • Datenspeicherung und –lagerung von Offline-/Online-Dokumenten
  • Speichermedien, Art und Form der Speicherung
  • Speicherformate und deren Eigenschaften
  • Sicherheit der Speicherung
  • Datenspeicherungsdauer
  • Datenweitergabe
  • Datenlöschung
  • Datenverwendung und -verwertung
  • Datenempfang und Datenzugriff(srechte)
  • Einwilligungserfordernis der betroffenen Person

Der Praxisansatz

Ganz konkret besagt § 4 Abs. 1 des Bundesdatenschutzgesetzes, BDSG, dass „Erhebung, Verarbeitung und Nutzung von personenbedingten Daten nur zulässig sind, wenn das BDSG/eine andere Verordnung dies gestattet, anordnet oder der Betroffene einwilligt“. § 3 Abs. 11 Nr. 7 BDSG schließt  Bewerber und deren personenbezogenen Daten ausdrücklich mit ein.

Was heißt zulässig?

Grundsätzlich kann A) eine Zulässigkeit gemäß § 32 BDSG begründet sein, wenn „Nutzung und Speicherung der Daten für die Begründung, Durchführung – und auch die Beendigung eines Beschäftigungsverhältnisses notwendig sind“. Dies bleibt auch als Fakt im neuen § 23 BDSG-E bestehen.

Dabei sollte immer das Prinzip des geringsten notwenigen Einsatzes gelten – damit nicht unnötig viele Daten – die im Einzelfall auch nicht unbedingt relevant sind –  gespeichert und gesichert werden müssen. Dementsprechend sind gerade auch die organisatorischen und logistischen Strukturen inklusive Zugriffsrechten und Befugnissen innerhalb einer Firma Faktoren, die datenschutztechnisch relevant sind.

Weiterhin gilt B) eine entsprechende Zulässigkeit/Erlaubnis zur Erhebung und Speicherung bei Daten, die „zulässig erhoben“ wurden, also Daten, die im Rahmen eines korrekt nach AGG durchgeführten Bewerbungsprozesses erfragt werden dürfen und an denen der Arbeitgeber zur Begründung eines Arbeitsverhältnisses ein „sachlich berechtigtes Interesse“ hat.

Was heißt sachlich berechtigt?

Das umfasst alle Dinge, die mit dem Arbeitsverhältnis in Zusammenhang stehen und eine vertragsgerechte Leistungserbringung verhindern, vermindern oder unmöglich machen.
Sachlich unberechtigt sind alle (privaten) Dinge, die nicht mit dem Arbeitsverhältnis in Zusammenhang stehen, u.a. handelt sich um Fragen wie:

  • Schwangerschaft – grundsätzlich nein
  • Schwerbehinderung – seit Inkrafttreten des AGG nein – lediglich, wenn es offensichtlich und maßgeblich zu Einschränkungen der Arbeitsleistung kommt/kommen kann, wäre ein offener Austausch arbeitsrechtlich relevant.
  • Zugehörigkeit zu einer bestimmten Religion – nein – allerdings ist dies bei konfessionsgebundenen Arbeitsträgern und Stellen nicht abschließend geklärt – die Frage kann außedem nach! einer Einstellung im Rahmen der Abführung von Kirchensteuerbeiträgen relevant werden.
  • Zugehörigkeit zu einer bestimmten Partei – nein – allerdings s.o. ist dies bei parteigebundenen Arbeitsträgern und Stellen nicht abschließend geklärt.
  • Private Angewohnheiten oder Vorlieben wie z.B. „Lieblingsessen“ – nein – im Falle von Nahrungsmittelallergien schon – jedoch nur bei Köchen, die z.B. abschmecken müssen.
  • HIV-Infektion  – nein – nur bei Berufen, bei denen Erregerübertragungen (Krankenpfleger) eine Rolle spielen könnten
  • HIV-Erkrankung – u.U. ja, weil dann die Leistungsfähigkeit eingeschränkt sein kann
  • Vorstrafen – nein – aber nur dann, wenn die Frage „allgemein“ und ohne direkten Bezug zur Arbeit gestellt wird („Sind sie eigentlich vorbestraft?”). Hingegen wäre die Frage nach einer Vorstrafe aufgrund eines Verkehrsdelikts berechtigt und stünde in unmittelbarem Bezug zur Arbeit, wenn beispielsweise ein Lastkraftfahrer eingestellt werden soll.
  • Gewerkschaftszugehörigkeit – nein – nach der Einstellung ist diese Frage jedoch rechtlich zulässig (wenn auch extrem unüblich), wenn der Arbeitnehmer Tarifverträge in Anwendung bringen möchte und zwischen Gewerkschaftsmitgliedern und Nichtmitgliedern differenziert.

Welche Geschäftsfälle können von Datenschutz-Regelungen betroffen sein?

Der Bewerbungsprozess über Printbewerbungen, Bewerbungsformulare im Internet, Karriereseiten, Bewerbungs-App – mit Sichtung der Daten, Einladen, Kennenlernen, Datenerfassung für den Arbeitsvertrag, Onboarding-Prozesse, Lohn- und Rentenversicherungsunterlagen, Fortbildungen, Dienstreisen, Arbeitnehmervergünstigungen und Arbeitnehmerzusatzleistungen, BGM-Teilhabe, jedoch auch Kündigungen, Ablehnung von Bewerbern etc.

Um welche Daten geht es?

Je nach Bewerbungsverfahren und Kontaktmöglichkeit werden unterschiedliche Daten zu unterschiedlichen Zeitpunkten in unterschiedlicher Weise und unterschiedlichen Formaten erfasst beispielsweise die üblichen Stammdaten (Name, Kontakt) sowie formale Daten (Zeugnisse, Zertifikate):

So erfordert das eine Bewerbermanagement-Tool die Eingabe von Name, Vorname, Anrede, Adresse, Telefonnummer und E-Mail-Adresse – und erlaubt dann das unkomplizierte Anfügen vollständiger PDF-Dateien bis zu einer bestimmten MB-Größe. Andere Tools lotsen die Bewerber auf eine besonders gesicherte https-Seite – in der ein Bewerber die Daten, die sich bei dem zuvor geschilderten Verfahren im vollständigen Dokument befinden, nun einzeln in vorgeschriebene Felder einfügen muss. Die Varianten sind vielfältig.

Juristisch sensible Daten

Unter diese fallen Daten und Aus-/Bewertungen aus Bewerber-Prüfverfahren, Assessment-Centern sowie medizinische Daten, die daraus folgern (z.B. zur prospektiven psychischen Belastbarkeit, Konfliktfähigkeit etc.), jedoch auch Resultate körperlicher amtsärztlicher Eignungsuntersuchungen.

Zustimmung und Einwilligung des Bewerbers

§ 34 Abs. 1 BDSG untermauert den jederzeit gültigen Auskunftsanspruch des Bewerbers. So muss in dem Formular enthalten sein:

  • Eine Widerspruchsrechtsbelehrung – und die Möglichkeit, seine Einwilligung jederzeit wirksam und ohne großen Aufwand (z.B. Adressen sofort klar ersichtlich) widerrufen zu können
  • Die Möglichkeit des Bewerbers, separat zustimmen / oder widersprechen zu können, ob die Daten über die Nutzungsdauer hinaus in einer Bewerberdatenbank gespeichert werden dürfen
  • Die Möglichkeit des Bewerbers, separat zustimmen / oder widersprechen zu können, ob eine andere / übergeordnete Konzerneinheit (z.B. bei einer „Konzernmutter“, die in den USA liegt) Einsicht in seine Daten nehmen darf
  • Die Möglichkeit, einer Nachforschung beim ehemaligen Arbeitgeber widersprechen zu können (diese ist einwilligungspflichtig) – etwaige Nachforschungen des interessierten potenziellen Neu-Arbeitgebers in den sozialen Medien, die beruflich relevant sind (LinkedIn, Xing), sind hingegen nicht zustimmungspflichtig
  • Die Möglichkeit, jederzeit auf einfachem Wege die eingegebenen Daten einsehen zu können
  • Die Möglichkeit, bestimmte Punkte separat an-/abwählen zu können – und dennoch nicht zwingend vom Bewerbungsverfahren ausgeschlossen zu werden

Problematische Formulierungen und „Blankoforderungen“ können unwirksam sein

In vielen Unternehmen ist man schon froh, wenn man ein vernünftiges automatisiertes Bewerbermanagement-Verfahren vorweisen kann, inklusive der rechtlich absolut notwendigen „Einholung der ausdrücklichen und freiwilligen Einwilligung“ des Bewerbers zur Verwendung der relevanten Daten.

Nicht selten wird hingegen eine Art „pauschaler“ Einwilligung eingefordert. Auch die sehr häufig anzutreffende Kopplung der ausdrücklichen Zustimmung an den Fortgang des Bewerbungsverfahrens und einer Datenweiterleitung kann problematisch sein – denn nur, weil ein Bewerber nicht in allen Punkten zustimmt, kann er dennoch (oder gerade deswegen) ein exzellenter Kandidat sein.

Außerdem können solche Klauseln („Hiermit stimme ich der Speicherung meiner Daten im Bewerbermanagement zu“ – hier klicken…) unwirksam sein. Nicht unerheblich ist auch die Tatsache, dass „bei Verstößen gegen datenschutzrechtliche Bestimmungen die sogenannten ‚für die Verarbeitung Verantwortlichen‘ persönlich in Haftung genommen werden können (z.B. Geschäftsführer, Vorstände).

Bewerbungsverfahren: Online versus Offline

Sicher ist, dass sich Print-Bewerbungen und Online-Bewerbungen hinsichtlich Aufbewahrung und Speicherart, -ort und –medien unterscheiden können. Häufig gibt es auch Mischformen, da viele Bewerbungen, die digital über E-Mail-Adressen – bis hin zu digitalen Bewerbungsmanagement-Postfächern – eintreffen, dennoch von einzelnen Beteiligten ausgedruckt werden. Hier gilt jedoch nach § 35 Abs. 2 Nr. 3 BDSG für Print- und Online-Bewerbungen gleichermaßen die Pflicht, personenbezogene Daten nach Ablauf der zulässigen Speicherfrist zu vernichten und zu löschen.

Fazit

Online-Bewerbungsprogramme und automatisierte Verfahren bergen große Chancen, um Einheitlichkeit, Vergleichbarkeit und Zügigkeit des Verfahrens zu erhöhen – jedoch auch rechtliche Tücken. Eine gute SWOT-Analyse, eine klare KPI-Bestimmung, eine Zielgruppen-orientierte und ein auf die jeweilige Stelle minutiös abgestimmtes Profil sorgen dafür, dass nur für die jeweilige Stellenbesetzung relevante Daten gefordert, gesammelt – und datenschutzrechtlich relevant behandelt werden müssen.

Beim Bewerbermanagement stehen immer zwei Interessen im Vordergrund, die es abzuwägen gilt: Ihr Interesse als Unternehmen und HR-Verantwortliche an einer möglichst umfassenden, alle rechtlichen Eventualitäten (z.B. Klagen abgelehnter Bewerber etc.) abdeckenden und dennoch effektiven Datenerhebung auf der einen Seite  – und die Persönlichkeitsrechte des Bewerbers auf der anderen Seite.

Es liegt im Interesse beider Seiten, dass Haftungsfragen, Rechte und Pflichten von vorneherein und Beginn an so korrekt kommuniziert und verantwortet werden – dass dem eigentlichen Einstellungsverfahren und Kennenlernen nichts mehr im Wege steht.

Quellen, u.a.:

https://www.hensche.de/Rechtsanwalt_Arbeitsrecht_Handbuch_Auskunftspflicht.html

http://www.vangard.de/files/200516_vangard_juli_bewerberdaten_hr-perfomance_3_2016.pdf

http://www.stepstone.de/Karriere-Bewerbungstipps/tabufragen-bewerbungsgespraech.cfm

https://arbeitgeber.careerbuilder.de/blog/datenschutz-im-recruiting

https://www.skwschwarz.de/files/skw_schwarz_artikel_gresslin_in_betriebs-berater_2015.pdf

Melde dich jetzt zum HRM Newsletter an